中小規模事業者における安全管理措置の特例~概要

最終更新日時:2017年(平成29年)2月15日

 これまで個人情報保護法制下において安全管理措置は取り扱う個人情報の件数が5000件以上の個人情報取扱事業者にのみ課せられていたものでした。ところがマイナンバー法においては他者のマイナンバーを1件でも取り扱う場合は個人番号取扱事業者として取り扱われるため、これまで取り扱う個人情報の件数が少ないことなどを理由に安全管理措置の義務を免除されてきた中小規模の事業者にとっては大きな負担になってしまいます。そこで、ガイドライン等では中小規模事業者に対して一部の措置を緩和させる特例をとっています。このページでは中小規模事業者における安全管理措置の特例について学んでいきましょう。

マイナンバー制度における中小規模事業者の定義

 まず、「中小規模事業者という表現はマイナンバー法独特の表現になっています。その定義は ”従業員数が100人以下の企業であり、かつ以下の条件のいずれにも当てはまらない企業” のことを指します。

 これにより、たとえ従業員が100人以下であっても健康保険組合などは特例からは除外されてしまいます。ちなみに「従業員」とは中小企業基本法20条に定義される「従業員」のことを指し、解雇の予告を必要とする労働者のことを表します。同法21条により20条から除外されている労働者(日雇い労働者、2ヶ月以内の短期労働者、季節的業務(スキー場の運営など)に4ヶ月以内で働く労働者、試用期間の者)は当然含みません。そして100人以下である、という判定は事業年度末(又は年末)の従業員数で毎年判断されます。

基本方針の策定

 基本方針の策定に関しては中小規模事業者の特例事項は特にありません。そもそも基本方針の策定・公表ともに義務付けられているものではありませんし、基本方針の策定自体さほど負担になるようなものではないため、従業員の教育にも役立つので策定しておいたほうが良いですよ、という程度にとどめています。

取扱規定等の策定

 取扱規定等の策定は、中小規模事業者の場合は策定を義務付けられてはいないという点で一部緩和されています。ただ、ガイドラインでは「特定個人情報等の取扱い等を明確化する」とありますので、既存の業務マニュアルや業務フロー図、チェックリスト等にマイナンバーに関する取扱いを加えるなどの対処が必要です。また、事務取扱担当者が変更になった際には、確実な引継ぎを行い、責任ある立場のものが確認を行う取り決めも行っておくと良いでしょう。